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GENERATEUR DE NOMBRES ALEATOIRES HAUT DEBIT. 



Generateur physique de nombres aleatotres, caracte- 

rise en ce qu'il comporte un circuit logique (10) comportant 
au moins une entree de donnees (D) et une entree d'horlo- 
ge (CLK), rentree de donnees (D) recevant un premier si- 
gnal d'horloge et I'entree d'horloge (CLK) recevant un 
deuxieme signal d'horloge different du premier; et en ce que 
les deux signaux d'horloge de frequences differentes pro- 
viennent respectivement de deux osciliateurs differents 
(OSC1 et OC2) travaillant en asynchronisme Tun de I'autre 
et ne respectant pas le temps d'etablissement du circuit lo- 
gique (10); la sortie du circuit (10) d^livrant un signal dans 
etat interm6diaire entre "0 " et " 1 " qualifie de metastable et 
etant constitue d'une suite de nombres a'eatoires. 
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Generat ur de n mbres aleatoires haut ddbit. 

La presente invention se situe dans le domaine du chiffrement et concerne plus 
particulierement une solution materielle (hardware) pour ('implementation d*un 
5 generateur de nombres aleatoires destine notamment a la generation de cles 
de chiffrement. 

Le besoin accru de performance en cryptographie associe a celui d'inviolabilite 
conduit les fournisseurs de systemes de securite a privilegier des solutions 
materielles de plus en plus performante en terme de debit et de qualite d'aleas. 
10 Le generateur selon I'invention, appele egalement generateur aleatoire, peut 
etre associe a une carte additionnelle PCI, abreviations anglo-saxonnes pour 
"Peripheral Component Interconnect" permettant d'accelerer les fonctions 
cryptographiques d'une machine : serveur ou station. 

Une telle carte couplee a un serveur constituera I'element materiel de securite 
is de la machine. 

II existe deux types de generateurs de nombres aleatoires utilises en 
electronique. 

Le premier type de generateur est base sur un phenomene physique aleatoire 
tel que le bruit thermique dans une diode, une emission radioactive, etc. II est 

20 appele "generateur physique" dans la suite de la description. 

Le deuxieme type de generateur est base sur un algorithme alimente par un 
"germe", defini ulterieurement, qui fournit en sortie une s6rie de nombres 
aleatoires avec une penode plus ou moins grande. II est appele "generateur 
pseudo-aleatoire" dans la suite de la description. 

25 Une longue p6riode associee a un germe de bonne qualite, en terme de qualite 
d'aleas, fournit en sortie d'un tel generateur, une seYie de nombres quasiment 
impredictibles. 

Les generateurs physiques sont bien sur les seules sources reelles de 
nombres aleatoires puisque completement impredictibles mais nombre d'entre 
30 eux ne sont pas exempt de correlations au niveau de leur sortie. 
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D'autre part, leur debit est en general assez faible de I'ordre de quelques 
dizaines de kilobits par seconde. 

Les geneYateurs pseudo-aleatoires quant a eux sont simples a implementer 
sous forme logicielle et permettent de fournir un debit important de nombres 
5 aleatoires de I'ordre de quelques dizaines de megabits par seconde. 

Cependant, ce type de generateurs repond a un processus deterministe et est 
done predictible. 

La qualite d'un generateur aleatoire est difficile a estimer car il n'existe pas de 
procedure officielle et normalisee permettant de verifier le caractere plus ou 
10 moins aleatoire d'une suite de nombres. 

On trouve cependant deux series de tests permettant de "valider" un tel 
generateur. 

La premiere serie de tests, appelee tests FIPS140, est decrite dans le 
document FIPS140-1 intitule "Security requirements for cryptographic modules" 
15 emis par I'organisme americain NIST. Ces tests constituent le minimum exige 
pour tout composant de securite desireux de revendiquer le label "FIPS140 
compliant", un des objectifs de la presente inventibn. 

La deuxieme serie de tests, mise au point par Georges Marsaglia et appelee 
tests DIEHARD, sont beaucoup plus exigeants que les tests FIPS et conferent, 
20 au generateur qui les passe tous avec succes. un certain niveau de qualite 
reconnu. 

Ces deux senes de tests sont jointes en annexe de la presente description. 
L'invention a notamment pour but de pallier les inconvenients precites et 
permet de s'affranchir de circuit physique specifique telle qu'une diode de bruit, 
25 tout en repondant au double imperatif de debit eleve, superieur a 100 Mbits/s. 
et de tres bonne qualite des aleas fournis ; qualite mesuree par le fait que le 
generateur doit passer avec succes les series de tests FIPS140 et DIEHARD 
cites ci-dessus. 

A cet ffet, l'invention a pour premier objet un generateur physique de nombres 
30 aleatoires, caracterise n ce qu'il comporte un circuit logique comportant au 
moins une entree de donnees et une entree d'horloge, I'entree de donnees 
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recevant un premier signal d'horloge et Tentree d'horloge recevant un 
deuxieme signal d'horloge different du premier ; et en ce que les deux signaux 
d'horloge de frequences differentes proviennent respectivement de deux 
oscillateurs differents travaillant en asynchronisme Tun de I'autre et ne 
5 respectant pas le temps d'etablissement du circuit logique ; la sortie du circuit 
delivrant un signal dans etat intermediate entre "0" et "1" qualifie de 
metastable et etant constitue d'une suite de nombres aleatoires. 
[.'invention a pour deuxieme objet , un generateur de nombres aleatoires haul 
debit, caracterise en ce qu'il comporte un generateur physique tel que defini ci- 

10 dessus, dont Tentree de donn6es correspond a I'entree de donnees du 
generateur physique recevant comme signal d*entr6e le premier signal "haute 
frequence", en ce qu'il comporte un g6n6rateur pseudo-aleatoire couple en 
sortie du generateur physique recevant sur son entree un germe delivre par le 
generateur physique et r§-injectant une partie de son signal de sortie pseudo- 

15 aleatoire dans le generateur physique, et en ce qu'il comporte une memoire 
interne stockant les nombres aleatoires obtenus en sortie du generateur 
pseudo-aleatoire ; les deux g6n6rateurs fonctionnant a partir d'un m§me et 
deuxteme signal d'horloge "haute frequence" gen£re par un oscillateur externe. 
L'invention a pour troisi6me objet, un m£canisme de generation de nombres 

20 aleatoires a la demande, caracterise en ce qu'il comporte un generateur de 
nombres aleatoires tel que defini ci-dessus, une m6moire double-port 
comportant un buffer de reception, coupiee en sortie du generateur sur le bus 
du generateur, et en ce qu'il comporte un microprocesseur, couple £ la 
memoire double-port par le bus microprocesseur, communiquant avec le 

25 generateur £ travers la memoire double-port et postant dans la memoire 
double-port un mot de commande comprenant une adresse et un compte 
contenant un nombre maximal de mots aleatoires £ stacker, et en ce que le 
buffer de la memoire double-port, a la demande du microprocesseur, est 
alimentee par la m6moire interne du g6n6rateur jusqu'3 epuisement d'un 

30 compte correspondant £ un nombre maximal determine de nombres aleatoires, 
puis exploite par le microprocesseur. 
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Enfin, I'invention a pour quatrteme objet, une carte acc6leratrice des fonctions 
cryptographiques d'une machine informatique, caracteris6e en ce qu'elle 
supporte un g6nerateur de nombres aleatoires ou un mecanisme tels que 
definis ci-dessus. 

5 ^invention a pour avantage de n'utiliser que des circuits electroniques 
standard pour la realisation d'un g6n6rateur "physique", et done de reduire la 
complexite et le cout d'un tel generateur. 

D'autres avantages et caracteristiques de la presente invention apparaitront a 
la lecture de la description qui suit faite en reference aux figures annex6es qui 
10 represented : 

- la figure 1, ie principe general d'un mecanisme de generation de nombres 
aleatoires a la demande, dans lequel s'ins6re un g6n6rateur aleatoire selon 
('invention ; 

- la figure 2, le schema bloc d'un g6n6rateur aleatoire selon I'invention ; 

15 - la figure 3, une bascule recevant respectivement sur ses entrees, les 
signaux d'horloge g£n6r§s par deux oscillateurs de frequences differentes, et 
servant a illustrer le phenomfene de metastabilite ;' 

- les figures 4a et 4b, les chronogrammes respectivement des signaux 
injectes sur les entrees de la bascule de la figure 3 ; 

20 - la figure 4c, le chronogramme du signal de sortie de la bascule ; et 

- la figure 5, le schema bloc d'un g6n6rateur physique selon I'invention. 

Le principe g6n6ral d'un mecanisme de generation de nombres aleatoires dans 
lequel s'insere le g6n6rateur selon I'invention est illustre a la figure 1. 
Sur cette figure, les liaisons sans fleche sont bidirectionnelles. 
25 Le mecanisme est deiimite sur la figure par une ligne ferm6e discontinue qui 
peut egalement delimiter une carte PCI, citee precedemment, supportant le 
mecanisme. 

Le generateur aleatoire 1 est realise d partir d'un automate en logique 
programmable, impiemente dans un composant electronique programmable 
30 FPGA, abreviations anglo-saxonnes pour "Field Programmable Gate Array", et 
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qui sous contrdle d'un microprocesseur 2 delivre a la demande de celui-ci des 
nombres aleatoires avec un debit eleve (D> 100 Mbits/s). 
Ces nombres aleatoires sont utilises par differents algorithmes et plus 
particulierement par les algorithmes de chiffrement pour la generation de cles 
de chiffrement. 

Une memoire double-port 3, de type DMA, abreviations anglo-saxonnes pour 
"Direct Memory Acces" est couplee en sortie du generateur aleatoire 1 via le 
bus du generateur. 

Le microprocesseur 2 est couple a la memoire double-port 3 via le bus 
microprocesseur. 

II communique avec le generateur 1 a travers la memoire double-port 3 qui 
permet I'echange des donnees et des commandes/statuts entre le generateur 
aleatoire 1 et le bus PCI de la machine a laquelle la carte est connectee, via 
une interface PCI 4. 

Le microprocesseur 2 poste dans la memoire double-port 3 un mot de 
commande comprenant uniquement une adresse et un compte. 
L'adresse pointe vers un buffer de reception 3i de la memoire double-port 3, 
dans lequel le generateur 1 stocke les mots aleatoires. 

Le compte, quant a lui, fixe le nombre de mots aleatoires demandes au 
generateur 1 avec une capacite maximum, par exemple de 32 Kbytes. 
Le microprocesseur 2 envoie alors une commande d'activation de type "chip 
select" au generateur 1 qui lit le mot de commande dans la memoire double- 
port 3 et execute celui-ci. 

Les mots generes sont ensuite stockes dans le buffer de reception 3i, indique 
par le microprocesseur 2, jusqu'a I'epuisement de la capacite maximum du 
compte. 

Uautomate du generateur aleatoire 1 envoie alors une commande 
d'interruption "interrupt" au microprocesseur 2 lui indiquant que le buffer 3i 
contenant les resultats est disponible en lecture. 

Le schema bloc d'un generateur aleatoire selon I'invention st illustre a la 
figure 2. 
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II comporte principalement deux etages 5 et 6. 

Le premiere etage 5 comporte un generateur "physique" et le deuxieme etage 
6, couple au premier, comporte un generateur "pseudo-aleatoire". 
Le generateur "physique" est un generateur de nombre aleatoires base sur les 
5 phenomenes physiques de metastabilite et de bruit de phase d'oscillateurs de 
frequences differentes. 

Le generateur physique 5 fournit au generateur pseudo-aleatoire 6 un germe 
aleatoire de bonne qualite en ce sens qu'il satisfait aux tests FIPS140 et 
possede par ailleurs un debit de I'ordre de 10 Kbits/s. 

10 Le generateur "pseudo-aleatoire" 6, a partir du germe recu du generateur 
physique 5, implemente un algorithme de type multiplication avec retenue 
possedant d'une part un tres bon debit car implemente directement en 
hardware, et satisfaisant cfautre part aux deux series de test introduits ci- 
dessus et detailles en annexe. 

15 Dans le mode de realisation decrit, les deux generateurs 5 et 6 fonctionnent au 
rythme d'une horloge externe 7 generant un premier signal d'horloge "haute 
frequence" H de frequence egale a 25 MHz. 

Un oscillateur 8 delivre un deuxieme signal "haute frequence" H1 de frequence 
egale a 33 MHZ et constitue le signal d'entree du generateur physique 5. 

20 Une memoire interne 9 de type FIFO, abreviations anglo-saxonnes pour "First 
Input First Output", est couplee en sortie du generateur pseudo-aleatoire 6 
La memoire FIFO 9 sert done a stocker les nombres aleatoires resultant du 
traitement opere par les deux generateurs 5 et 6 en attendant que le 
microprocesseur 2 demande leur transfert vers la memoire double-port 3. 

25 Le generateur physique selon I'invention exploite le phenomene dit de 
metastabilite dont le principe est explique en detail ci-apres en reference aux 
figures 3 et 4a a 4c. 

Lorsque deux oscillateurs OSC1 et OSC2, de frequence differente, travaillent 
en asynchronisme Tun de I'autre, its generent chacun un signal d'horloge 
30 distinct et les signaux synchronises a partir de ces signaux d'horloge 
appartiennent a des domaines d'horloge distincts qui sont en principe 
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independants du point de vue fonctionnel. II arrive n6anmoins un moment ou 
des signaux sont echanges entre les deux domaines. Cette situation est un 
handicap dans tout design ou elle se rencontre car elle conduit au phenom&ne 
de metastabilite. 

5 Les signaux issus de domaines d'horloge differents ne respectent pas les 
temps d'etablissement, ou "set-up" en terminologie anglo-saxonne, des 
elements m6moires (bascules ou registres) de I'autre domaine conduisant les 
sorties de ces elements & prendre des valeurs aleatoires. 
On a represents a la figure 3 une bascule recevant respect ivement sur son 

10 entree D et sur son entree d ! horloge, les signaux d'horloge H1 et H2 gen6r6s 
respectivement par les oscillateurs OSC1 et OSC2. 

Les figures 4a et 4b illustrent respectivement des exemples de chronogrammes 
correspondant aux deux signaux d'horloge. 

la figure 4c illustre un chronogramme correspondant au signal de sortie Q de la 
15 bascule. 

La sortie d'une bascule dont le "set-up" a ete viol6 reste dans un etat 
interm6diaire entre I'etat "0" et I'etat "1" qui est qualify de m6tastable avant de 
se stabiliser dans I'etat definitif "0" ou 'TV 

On rfegle en general ce probleme en mettant deux bascules en s6rie Tune 
20 derntere I'autre pour 6viter la propagation de cet alea indesirable. 

A I'inverse, cette metastabilite est exploitee par la pr6sente invention et son 
occurrence est accentuSe par I' utilisation de deux oscillateurs de frequence 
tr6s differentes. 

On choisit ainsi de preference un signal "haute frequence" H1 et un signal 
25 "basse frequence" H2. 

Le signal "haute frequence" H1 est 6chantillonne par le signal " basse 
frequence" H2. 

Le phenomdne recherche est ainsi accentu6 par deux phenomene physiques : 
- le bruit de phase gen6r6 par I'oscillateur "haute frequence"; et 
30 - la variability forc6e de la p6riode de I'oscillateur "basse frequence" 
provoqu6e par ('utilisation d'une partie des bits d sortie du g6n6rateur pseudo- 
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aleatoire dans le compteur diviseur servant a generer cette frequence. On 
obtient ainsi un facteur de forme variable. 

La figure 5 illustre le schema bloc d'un generateur physique 5 selon I'invention 
dans lequel on retrouve la bascule 10 decrite en reference a la figue 3 pour 
('explication de la metastabilite. 

Le module d'entree du generateur physique 5 est un compteur 1 1 diviseur par 
1312. 

II est alimente par un signal d'horloge externe H, de frequence egale a 25 MHz, 
et genere en sortie un signal d'horloge "basse frequence" H2 qui echantillonne 
le signal d'horloge "haute frequence" H1 d'entree du generateur 5, de 
frequence egale a 33 MHz. 

Le signal d'horloge H2 est injecte a I'entree d'horloge CLK de la bascule 10, et 
le signal H1 est injecte sur I'entree D de la bascule 10. 

Le signal de sortie, obtenu en sortie Q de la bascule 10, est combinee a travers 
un circuit logique "ou exclusif 12 avec un bit de sortie du generateur pseudo- 
aleatoire 6 et envoye vers I'entree D d'un registre a decalage 64 bits reference 
13. 

Le circuit logique 12 permet ainsi de pallier a une eventuelle defaillance du 
generateur physique 5. 

Le registre a decalage 13 remet en forme le signal issu de la bascule 10. 
Dans le mode de realisation decrit, il genere deux mots aleatoires de 32 bits 
tous les 32 x 100 us soit 3,2 ms environ. 

Ces deux mots constituent le "germe" utilise par generateur pseudo-aleatoire 6 
decrit ci-apres. 

Pour repondre notamment aux contraintes de la serie de tests DIEHARD, le 
renouvellement du germe se fait typiquement tous les 100 millions de bits. 
Ainsi, un compteur par 3750. 14. genere un signal LEN (Load Enable) qui 
charge effectivement un nouveau germe dans le generateur pseudo-aleatoire 6 
toutes les 375 ms environ. 

Le generateur physique 5 comporte en outre un module de test 15 comprenant 
deux compteurs et un comparateur, non represents. 
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Les deux compteurs regoivent respectivement en entree les deux signaux 
d'horloges H et H1, respectivement de 25 MHz et de 33 MHz, et leurs sorties 
alimentent le comparateur, et genere un signal d'erreur en cas de 
dysfonctionnement (blocage) de I'horloge a 33 MHz dont le signal est utilise 

5 comme signal externe "haute frequence" H1. 

Ce test permet de verifier en permanence que la valeur du signal servant d 
g6n§rer le germe aleatoire n'est pas bloqu6 a M 0" ou a "1". 
En cas de blocage, le signal d'erreur invalide la sortie finale du generateur 
physique 5 en forgant I'ecriture de z6ros dans la memoire interne 9. 

10 Le generateur pseudo-aleatoire 6 est du type multiplication avec retenue. 

II convient particulierement £ Y implementation d'un g6n6rateur selon invention 
du fait de la rapidite d'execution de son algorithme mais n'est cependant pas le 
seul pouvant etre utilise par le gen6rateur pseudo-aleatoire. 
L'algorithme s'exprime de la fagon suivante : 

15 X:=(A*X(15:0))+X(31 : 16); 
Y:=(B*Y(15: 0))+Y(31 : 16); 
PRN(31 : 16)<=X(15:0); 
PRN(15:0) <= Y(15:0); 
ou : 

20 X et Y sont des variables de 32 bits initialises avec le germe decrit 
precedemment, A et B sont des constantes de 16 bits et PRN correspond a un 
mot de 32 bits delivr6 en sortie du g6n6rateur pseudo-aleatoire 6. 
Le mot PRN est envoy6 vers la m6moire interne 9 du g6nerateur aleatoire 1 d 
raison d'un mot de 32 bits toutes les 120 ns soit un debit global de 266 Mbits/s. 

25 La sortie de la m6moire interne 9 coupl6e d la m6moire double-port 3 alimente 
le buffer de r6ception de la m6moire double port 3. 

La lecture de la memoire interne 9 s'effectue a la cadence d ! un mot de 32 bits 
toutes les 30 ns ceci afin de ne pas ralentir le debit interne du generateur 
aleatoire 1 et ce t mSme en cas de conflit d'accds d la m6moire double port 3. 
30 En conclusion, la presente invention repond d deux objectifs. 
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Le premier objectif est de r6aliser une implementation materielle compacte cTun 
generateur de nombres aleatoires entierement realise d partir de composants 
standards n'utilisant pas de composants specifiques g6n£rateur de bruit, et 
pouvant d'autre part etre supportee par une carte PCI acc6leratrice des 

5 ressources cryptographiques d'une machine informatique. 

Le deuxieme objectif cumul6 au premier est de pouvoir repondre aux 
contraintes de debit et d'aleas recherchees. Dans ce contexte, un generateur 
"physique" de nombres aleatoires ne se suffit pas £ lui-m&me. 
C'est pourquoi la pr6sente invention associe un generateur physique exploitant 

10 le phenom^ne de metastabilite associe d celui du bruit de phase pour garantir 
un germe de bonne qualite d'aleas, avec un generateur pseudo-aleatoire qui 
accetere le debit des germes delivr6s par le generateur physique et qui, par 
ailleurs, gomme les eventuelles correlations en sortie du g6n6rateur physique 
qui n'est pas parfait. 

15 
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ANNEXES 

Ci-joint une description sommaire des tests FIPS140 et DIEHARD passes avec 
succes par le generateur aleatoire selon I'invention. 
1) Les tests FIPS 140 

Les tests FIPS 140 s'effectuent sur une sequence de 20000 bits et 
comprennent : 

-» un test Monobit : le nombre de bits a "1" doit etre tel que : 9654< N < 10346 

-> un test dit POKER : test qui divise le flux de 20000 bits en 5000 suites 

contiguSs de 4 bits. Pour chaque suite une fonction f(i) est evaluee qui est 

egale au nombre de fois ou la valeur 0<i<1 5 est apparue. 

La fonction suivante est alors evaluee : 

X = (16/5000) * (SOMME (f(i) *f(i))) - 5000 avec 0<i<15 

Le test est positif si 1 .03 < X <57.4 

-> Les Runs tests qui comptabilisent le nombre d'occurrences des suites 1 1 
111 1111 00 0000000 ... 

Le test est positif si pour chaque longueur de run le nombre de resultats est 
compris dans rintervalle correspondant 



Longueur des runs 


Intervalle requis 


1 


2267-2733 


2 


1079-1421 


3 


502-748 


4 


223-402 


5 


90-223 


>6 


90-223 



-» Le Long Run Test : qui verifie Tabsence de sequence de 34 "V ou 34 "0" 
20 dans la suite de 20000 bits 

Pour plus de detail : voir FIPS PUB 140-1 : SECURITY REQUIREMENTS FOR 
CRYPTOGRAPHIC MODULE 
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1) Les tests DIEHARD 

Ces tests sont au nombre de 15 et sont tous decrits dans cette annexe . Un 

fichier contenant 80 Mbits a!6atoires est requis pour passer les tests et les 
5 resultats sont donn6s sous forme de nombres 0<p<1 . 

Le resultat des tests d6pend du nombre de valeurs p= 1 ou p=0 trouvees : 

-> Aucune valeur p=1 ou p=0 le r6sultat des tests est positif. 

-> Quelques valeurs p=1 ou p=0 le resultat des tests est positif mais I'aleas 

est de qua lite moyenne 
10 Le nombre de valeurs p=1 ou p=0 cons6cutives est > 5 dans un ou plusieurs 

tests le resultat des tests est n6gatif. 



This is the BIRTHDAY SPACINGS TEST 
15 :: Choose m birthdays in a year of n days. List the spacings 
:: between the birthdays. If j is the number of values that 
:: occur more than once in that list, then j is asymptotically :: 
:: Poisson distributed with mean m A 3/(4n). Experience shows n 
:: must be quite large, say n>=2 A 18, for comparing the results :: 
20 :: to the Poisson distribution with that mean. This test uses :: 
:: n=2 A 24 and m=2 A 9, so that the underlying distribution for j :: 
:: is taken to be Poisson with lambda=2 A 27/(2 A 26)=2. A sample 
:: of 500 j's is taken, and a chi-square goodness of fit test 
:: provides a p value. The first test uses bits 1-24 (counting :: 
25 :: from the left) from integers in the specified file. 

:: Then the file is closed and reopened. Next, bits 2-25 are :: 
:: used to provide birthdays, then 3-26 and so on to bits 9-32. :: 
:: Each set of bits provides a p-value, and the nine p-values 
:: provide a sample for a KSTEST. 
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THE OVERLAPPING 5-PERMUTATION TEST 
:: This is the OPERM5 test. It looks at a sequence of one mill- :: 
. : ion 32-bit random integers. Each set of five consecutive 
:: integers can be in one of 120 states, for the 5! possible or- :: 
:: derings of five numbers. Thus the 5th, 6th, 7th,... numbers :: 
:: each provide a state. As many thousands of state transitions :: 
:: are observed, cumulative counts are made of the number of 
:: occurences of each state. Then the quadratic form in the 
: : weak inverse of the 1 20x1 20 covariance matrix yields a test : : 
■: equivalent to the likelihood ratio test that the 120 cell 
: counts came from the specified (asymptotically) normal dis- :: 
: tribution with the specified 120x120 covariance matrix (with :: 
: rank 99). This version uses 1,000,000 integers, twice. 




: This is the BINARY RANK TEST for 31x31 matrices. The leftmost : 
31 bits of 31 random integers from the test sequence are used :: 
: to form a 31x31 binary matrix over the field {0,1}. The rank :: 
: is determined. That rank can be from 0 to 31, but ranks< 28 :: 
: are rare, and their counts are pooled with those for rank 28. :: 
Ranks are found for 40,000 such random matrices and a chisqua-:: 
re test is performed on counts for ranks 31,30,29 and <=28. 




This is the BINARY RANK TEST for 32x32 matrices. A random 32x 
32 binary matrix is formed, each row a 32-bit random integer. :: 
The rank is determined. That rank can be from 0 to 32, ranks . : 
less than 29 are rare, and their counts are pooled with those :: 
for rank 29. Ranks are found for 40,000 such random matrices :: 
and a chisquare test is performed on counts for ranks 32,31 , :: 
30 and <=29. 
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:: This is the BINARY RANK TEST for 6x8 matrices. From each of 
:: six random 32-bit integers from the generator under test, a :: 
:: specified byte is chosen, and the resulting six bytes form a :: 
:: 6x8 binary matrix whose rank is determined. That rank can be :: 
:: from 0 to 6, but ranks 0,1,2,3 are rare; their counts are 
:: pooled with those for rank 4. Ranks are found for 100,000 
:: random matrices, and a chi-square test is performed on 
: : counts for ranks 6,5 and <=4. 



THE BITSTREAM TEST 
:: The file under test is viewed as a stream of bits. Call them :: 

" b1 . b 2 Consider an alphabet with two "letters", 0 and 1 :: 

:: and think of the stream of bits as a succession of 20-letter :: 
:: "words", overlapping. Thus the first word is Mb2...b20, the :: 
:: second is b2b3 ...b21, and so on. The bitstream test counts :: 
:: the number of missing 20-letter (20-bit) words in a string of :: 
:: 2 A 21 overlapping 20-letter words. There are 2 A 20 possible 20 :: 
:: letter words. For a truly random string of 2 A 21 +1 9 bits, the :: 
:: number of missing words j should be (very close to) normally :: 
:: distributed with mean 141,909 and sigma 428. Thus 
:: G-141909)/428 should be a standard normal variate (z score) :: 
:: that leads to a uniform [0,1 ) p value. The test is repeated :: 
:: twenty times. 



The tests OPSO, OQSO and DNA 
OPSO means Overlapping-Pairs-Sparse-Occupancy 
:: The OPSO test considers 2-letter words from an alphabet of 
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1024 letters. Each letter is determined by a specified ten :: 
bits from a 32-bit integer in the sequence to be tested. OPSO :: 
generates 2 A 21 (overlapping) 2-letter words (from 2 A 21+1 
"keystrokes") and counts the number of missing words — that :: 
is 2-letter words which do not appear in the entire sequence. :: 
That count should be very close to normally distributed with :: 
mean 141,909, sigma 290. Thus (missingwrds-1 41 909)/290 should 
be a standard normal variable. The OPSO test takes 32 bits at :: 
a time from the test file and uses a designated set of ten 
consecutive bits. It then restarts the file for the next de- :: 
signated 10 bits, and so on. 

OQSO means Overlapping-Quadruples-Sparse-Occupancy 
The test OQSO is similar, except that it considers 4-letter :: 
words from an alphabet of 32 letters, each letter determined :: 
by a designated string of 5 consecutive bits from the test 
file, elements of which are assumed 32-bit random integers. 
The mean number of missing words in a sequence of 2 A 21 four- :: 
letter words, (2 A 21+3 "keystrokes"), is again 141909, with :: 
sigma = 295. The mean is based on theory; sigma comes from : 
extensive simulation. 

The DNA test considers an alphabet of 4 letters:: C,G,A,T,:: 
determined by two designated bits in the sequence of random :: 
integers being tested. It considers 10-letter words, so that :: 
as in OPSO and OQSO, there are 2 A 20 possible words, and the 
mean number of missing words from a string of 2 A 21 (over- 
lapping) 10-letter words (2 A 2 1+9 "keystrokes") is 141909. :: 
The standard deviation sigma=339 was determined as for OQSO 
by simulation. (Sigma for OPSO, 290, is the true value (to :: 
three places), not determined by simulation. 
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This is the COUNT-THE-I's TEST on a stream of bytes. 
:: Consider the file under test as a stream of bytes (four per 
:: 32 bit integer). Each byte can contain from 0 to 8 1's, 
:: with probabilities 1,8,28,56,70,56,28,8,1 over 256. Now let : 
:: the stream of bytes provide a string of overlapping 5-letter :: 
:: words, each "letter" taking values A.B.C.D.E. The letters are 
:: determined by the number of 1's in a byte:: 0,1 ,or 2 yield A,:: 
:: 3 yields B, 4 yields C, 5 yields D and 6 t 7 or 8 yield E. Thus :: 
:: we have a monkey at a typewriter hitting five keys with vari- : 
:: ous probabilities (37,56,70,56,37 over 256). There are 5 A 5 
:: possible 5-letter words, and from a string of 256,000 (over- : 
:: lapping) 5-letter words, counts are made on the frequencies 
:: for each word. The quadratic form in the weak inverse of 
:: the covariance matrix of the cell counts provides a chisquare 
:: test:: Q5-Q4, the difference of the naive Pearson sums of 
:: (OBS-EXP) A 2/EXP on counts for 5- and 4-letter cell counts. 



This is the COUNT-THE-1's TEST for specific bytes. 
:: Consider the file under test as a stream of 32-bit integers. :: 
:: From each integer, a specific byte is chosen , say the left- :: 
:: most:: bits 1 to 8. Each byte can contain from 0 to 8 1's, :: 
:: with probabiiitie 1 ,8,28,56,70,56,28,8,1 over 256. Now let : 
:: the specified bytes from successive integers provide a string 
:: of (overlapping) 5-lettor words, each "letter" taking values :: 
:: A^.C.D.E. The letters are determined by the number of 1's, 
:: in that byte:: 0,1 ,or 2 — > A, 3 — > B, 4 — > C, 5 — > D ( :: 
:: and 6,7 or 8 — > E. Thus we have a monk y at a typewriter 
:: hitting five keys with with various probabilities:: 37,56,70,:: 
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: 56,37 over 256. There are 5 A 5 possible 5-letter words, and 
: from a string of 256,000 (overlapping) 5-letter words, counts :: 
: are made on the frequencies for each word. The quadratic form :: 
:: in the weak inverse of the covariance matrix of the cell 
:: counts provides a chisquare test:: Q5-Q4, the difference of :: 
:: the naive Pearson sums of (OBS-EXP) A 2/EXP on counts for 5- 
:: and 4-letter cell counts. 



THIS IS A PARKING LOT TEST 
:: In a square of side 100, randomly "park" a car— a circle of :: 
:: radius 1 . Then try to park a 2nd, a 3rd, and so on, each 
:: time parking "by ear". That is, if an attempt to park a car :: 
;: causes a crash with one already parked, try again at a new 
:: random location. (To avoid path problems, consider parking 
:: helicopters rather than cars.) Each attempt leads to either :: 
:: a crash or a success, the latter followed by an increment to :: 
:: the list of cars already parked. If we plot n: the number of :: 
:: attempts, versus k:: the number successfully parked, we get a:: 
:: curve that should be similar to those provided by a perfect :: 
:: random number generator. Theory for the behavior of such a :: 
:: random curve seems beyond reach, and as graphics displays are 
:: not available for this battery of tests, a simple characteriz :: 
:: ation of the random experiment is used: k, the number of cars :: 
:: successfully parked after n=1 2,000 attempts. Simulation shows :: 
:: that k should average 3523 with sigma 21 .9 and is very close :: 
:: to normally distributed. Thus (k-3523)/21.9 should be a st- :: 
:: andard normal variable, which, converted to a uniform varia- :: 
:: ble, provides input to a KSTEST based on a sample of 10. 
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THE MINIMUM DISTANCE TEST 
:: It does this 100 times:: choose n=8000 random points in a :: 
:: square of side 10000. Find d, the minimum distance between :: 
:: the (n A 2-n)/2 pairs of points. If the points are truly inde- :: 

5 :: pendent uniform, then d A 2, the square of the minimum distance :: 
:: should be (very close to) exponentially distributed with mean :: 
:: .995 . Thus 1-exp(-d A 2/.995) should be uniform on [0,1) and :: 
:: a KSTEST on the resulting 100 values serves as a test of uni- :: 
:: formity for random points in the square. Test numbers=0 mod 5 :: 

io :: are printed but the KSTEST is based on the full set of 1 00 
:: random choices of 8000 points in the 10000x10000 square. 



THE 3DSPHERES TEST 

is :: Choose 4000 random points in a cube of edge 1000. At each :: 
:: point, center a sphere large enough to reach the next closest :: 
:: point. Then the volume of the smallest such sphere is (very :: 
:: close to) exponentially distributed with mean 120pi/3. Thus :: 
:: the radius cubed is exponential with mean 30. (The mean is 

20 :: obtained by extensive simulation). The 3DSPHERES test gener- :: 
:: ates 4000 such spheres 20 times. Each min radius cubed leads :: 
:: to a uniform variable by means of l-expf-r^/SO.), then a 
:: KSTEST is done on the 20 p-values. 



This is the SQEEZE test 
:: Random integers are floated to get uniforms on [0,1 ). Start- :: 
:: ing with k=2 A 31 =2147483647, the test finds j, the number of :: 
:: iterations necessary to reduce k to 1 , using the reduction :: 
30 :: k=c iling(k*U), with U provided by floating integers from 
:: the file being tested. Such Js are found 100,000 times, 
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:: then counts for the number of times j was <=6,7,...,47,>=48 :: 
:: are used to provide a chi-square test for cell frequencies. :: 



The OVERLAPPING SUMS test 
:: Integers are floated to get a sequence U(1 ),U(2),... of uni- :: 
:: form [0,1) variables. Then overlapping sums, 
:: S(1)=U(1)+...+U(100), S2=U(2)+...+U(101),... are formed. 
:: The S's are virtually normal with a certain covariance mat- :: 
:: rix. A linear transformation of the S's converts them to a :: 
:: sequence of independent standard normals, which are converted 
:: to uniform variables for a KSTEST. The p-values from ten 
:: KSTESTs are given still another KSTEST. 



This is the RUNS test. It counts runs up, and runs down, :: 
:: in a sequence of uniform [0,1 ) variables, obtained by float- :: 
:: ing the 32-bit integers in the specified file. This example :: 
:: shows how runs are counted: .123,. 357,. 789,. 425,. 224,. 416,. 95:: 
:: contains an up-run of length 3, a down-run of length 2 and an :: 
:: up-run of (at least) 2, depending on the next values. The :: 
:: covariance matrices for the runs-up and runs-down are well 
:: known, leading to chisquare tests for quadratic forms in the :: 
:: weak inverses of the covariance matrices. Runs are counted :: 
:: for sequences of length 10,000. This is done ten times. Then :: 
:: repeated. 



:: This is the CRAPS TEST. It plays 200,000 games of craps, finds:: 
:: the number of wins and the number of throws necessary to end :: 
:: each game. The numb r of wins should be (very close to) a 
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;: normal with mean 200000p and variance 200000p(1-p) ( with 
:: p=244/495. Throws necessary to complete the game can vary 
:: from 1 to infinity, but counts for all>21 are lumped with 21 . :: 
:: A chi-square test is made on the no.-of-throws cell counts. 
5 :: Each 32-bit integer from the test file provides the value for :: 
:: the throw of a die, by floating to [0,1 ), multiplying by 6 :: 
:: and taking 1 plus the integer part of the result. 



NOTE: Most of the tests in DIEHARD return a p-value, which 
10 should be uniform on [0,1 ) if the input file contains truly 

independent random bits. Those p-values are obtained by 
p=F(X), where F is the assumed distribution of the sample 
random variable X — often normal. But that assumed F is just 
an asymptotic approximation, for which the fit will be worst 
15 in the tails. Thus you should not be surprised with 

occasional p-values nearO or 1, such as .0012 or .9983. 
When a bit stream really FAILS BIG, you will get p's of 0 or 
1 to six or more places. By all means, do not, as a 
Statistician might, think that a p < .025 or p> .975 means 
20 that the RNG has "failed the test at the .05 level" Such 

p's happen among the hundreds that DIEHARD produces, even 
with good RNG's. So keep in mind that " p happens". 
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REVINDICATIONS 

1. Generateur physique de nombres aleatoires, caracterise en ce qu'il 
5 comporte un circuit logique (10) comportant au moins une entree de donnees 
(D) et une entree d'horloge (CLK), I'entree de donnees (D) recevant un premier 
signal d'horloge et I'entree d'horloge (CLK) recevant un deuxieme signal 
d'horloge different du premier ; et en ce que les deux signaux d'horloge de 
frequences differentes proviennent respectivement de deux oscillateurs 
10 differents (OSC1 et OC2) travaillant en asynchronisme I'un de I'autre et ne 
respectant pas le temps d'etablissement du circuit logique (10) ; la sortie du 
circuit (10) delivrant un signal dans etat intermediate entre "0" et "1" qualifie 
de metastable et etant constitue d'une suite de nombres aleatoires. 

is 2. Generateur physique selon la revendication 1, caracterise en ce le premier 
signal d'horloge (H1) est un signal "haute frequence" et en ce que le deuxieme 
signal d'horloge (H2) est un signal "basse frequence" ; le signal "haute 
frequence" etant echantillonne par le signal "basse frequence" ; la metastabilite 
du signal obtenu en sortie du circuit (10) etant accentuee par le bruit de phase 

20 de I'oscillateur (OSC1 ) generant le signal "haute frequence" (H1 ). 

3. Generateur de nombres aleatoires (1) haut d6bit, caracterise en ce qu'il 
comporte un generateur physique (5) selon la revendication 2. dont I'entree de 
donnees correspond a I'entree de donnees du generateur physique (5) 

25 recevant comme signal d'entree le signal "haute frequence" (H1 ), en ce qu'il 
comporte un generateur pseudo-aleatoire (6) coupl6 en sortie du generateur 
physique (5) recevant sur son entree un germe delivre par le generateur 
physique (5) et re-injectant une partie de son signal de sortie pseudo-aleatoire 
dans le generateur physique (5), et en ce qu'il comporte une memoire interne 

30 (9) stockant les nombres aleatoires obtenus en sortie du generateur pseudo- 
aleatoire (6) ; les deux generateurs fonctionnant a partir d'un meme et 



BNSDOCID: <FR 2602661 A 1_L> 



2802661 



22 

deuxieme signal d'horloge "haute frequence" gen6re par un oscillateur extern 

(7). 

4. Gen6rateur de nombres aleatoires selon la revendication 3, caract6rise en 
5 ce que le generateur physique (5) comporte un bloc (11) qui partant du signal 
d'horloge "haute frequence" , g6ner§ par I'oscillateur externe (7), g6n6re le 
signal "basse frequence" qui 6chantillonne le signal d'entree du g6nerateur 
physique (5). 

io 5. G6n6rateur de nombres aleatoires selon la revendication 4, caract6ris6 en 
ce qu'une partie du signal de sortie du g6n6rateur pseudo-aleatoire est r&- 
injecte dans le bloc (11) g6n6rant le signal "basse frequence" pour forcer la 
variability de la periode du signal "basse frequence". 

15 6. Generateur de nombres aleatoires selon la revendication 5, caracterise en 
ce que le generateur physique (5) comporte un registre d decalage (13) 
recevant sur son entree d'horloge (CLK) le signal "basse frequence" g6n6re 
par le bloc (1 1) et recevant sur son entree de donnees le signal de sortie de la 
bascule (10) ; le registre £ decalage (13) delivrant sur sa sortie le germe 

20 alimentant le generateur pseudo-al6atoire (6). 

7. Generateur de nombres aleatoires selon la revendication 6, caracteris6 en 
ce que le g6n6rateur physique (5) comporte en outre une porte logique "ou 
exclusif (12), couplee entre la bascule (10) et le registre d decalage (13), et 

25 recevant sur une premiere entree le signal de sortie de la bascule (10) et sur 
une deuxieme entree, un bit du signal de sortie du generateur aleatoire (6) 
pour pallier £ une eventuolle d6faillance du generateur physique (5). 

8. Generateur de nombres aleatoires selon la revendication 7, caracterise n 
30 ce que le g6n6rateur physique (5) comporte un compteur (14) recevant sur son 

entr6e le signal d'horloge "basse frequence" et dont le signal de sortie 
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commande la cadence du renouvellement du germe dans le generateur 
pseudo-aleatoire (6). 

9. Generateur de nombres aleatoires selon Tune queiconque des 
5 revendications 3 a 8, caracterise en ce qu'il comporte en outre, un module de 

test (15) couple en entree du generateur physique (5) qui recoit en entree les 
signaux "basse frequence" et "haute frequence" et delivre en sortie un signal 
d'erreur en cas de dysfonctionnement de I'oscillateur delivrant le signal "haute 
frequence" qui invalide la sortie du generateur physique en forcant I'ecriture de 
10 zeros dans la memoire interne (9). 

10. Generateur de nombres aleatoires selon I'une queiconque des 
revendications 3 a 9, caracterise en ce que le generateur pseudo-aleatoire (6) 
implemente un algorithme du type multiplication avec retenue. 

15 

11. Generateur de nombres aleatoires selon I'une queiconque des 
revendications 4 a 10, caracterise en ce qu'il est entierement realise a partir 
d'un composant FPGA. 



20 12. Mecanisme de generation de nombres aleatoires a la demande, caracterise 
en ce qu'il comporte un generateur de nombres aleatoires (1) selon I'une 
queiconque des revendications 3 a 11, une memoire double-port (3) 
comportant un buffer de reception (3i), couplee en sortie du generateur (1) sur 
le bus du generateur (1), et en ce qu'il comporte un microprocesseur (2), 

25 couple a la memoire double-port (3) par le bus microprocesseur, 
communiquant avec le generateur (1) a travers la memoire double-port (3) et 
postant dans la memoire double-port (3) un mot de commande comprenant une 
adresse et un compte contenant un nombre maximal de mots aleatoires a 
stocker, et en ce que I buffer (3i) de la memoire double-port (3), a la demande 

30 du microprocesseur (2), est alimentee par la memoire interne (9) du generateur 
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(1) jusqu'a epuisement d'un compte correspondant a un nombre maximal 
determin6 de nombres aleatoires, puis exploite par le microprocesseur (2). 

13. Carte acceleratrice des fonctions cryptographiques d'une machine 
5 informatique, caracteris6e en ce qu'elle supporte un g6n6rateur aleatoire selon 

Tune quelconque des revendications 3 a 1 1 . 

14. Carte acceleratrice des fonctions cryptographiques d ! une machine 
informatique, caracteris6e en ce qu'elle supporte un mScanisme selon la 

io revendications 12. 
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